Sechs Stunden reichten den Angreifern. Am 7. April 2026 lieferte das Update-System von Nextend einen vollständig vom Angreifer geschriebenen Build des Pro-Plugins Smart Slider 3 in der Version 3.5.1.35 aus. Jede Site, die in diesem Fenster aktualisierte, hatte anschließend ein Remote-Access-Toolkit installiert.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Kommt Ihnen das bekannt vor? Erst im April hatten wir den Flippa-Verkauf der Essential-Plugins dokumentiert. Der neue Vorfall ist anders gelagert, trifft aber denselben Nerv: Niemand prüft, was tatsächlich aus dem Update-Kanal kommt.
Das Wichtigste in Kürze
- Nextends Update-Infrastruktur wurde am 7. April 2026 kompromittiert
- Smart Slider 3 Pro 3.5.1.35 enthielt eine voll bewaffnete Backdoor
- Patchstack-Whitepaper 2026 fordert verbindliche VDP-Programme für kommerzielle Plugins
- Über 22 neue WordPress-Schwachstellen pro Tag laut Patchstack-Trend
Was lief beim Smart-Slider-Update schief?
Smart Slider 3 läuft auf rund 800.000 WordPress-Sites, davon ein nennenswerter Anteil auf der kommerziellen Pro-Variante. Patchstack hat den Vorfall in einer eigenen Analyse als Lieferketten-Bruch klassifiziert. Eine unautorisierte Partei verschaffte sich Zugriff auf Nextends Update-Server und schob über den offiziellen Kanal eine manipulierte Pro-Version 3.5.1.35 nach.
Der Schaden ist im Detail unangenehm. Der Build enthielt nicht nur eine kleine Hintertür, sondern ein komplettes Remote-Access-Toolkit. Jede Site, die im sechsstündigen Auslieferungsfenster aktualisierte, lud sich damit eine fertige Fernsteuerung ins WordPress-Verzeichnis.
Warum VDP-Pflicht und kein Vertrauen mehr?
Patchstack hat im Februar 2026 sein jährliches State of WordPress Security veröffentlicht. Die Kernforderung: Jedes kommerzielle Plugin, das in der EU vertrieben wird, braucht ab 2026 eine Vulnerability-Disclosure-Policy. Hintergrund ist die EU-Linie aus NIS-2 und Cyber Resilience Act, die strukturierte Schwachstellen-Behandlung zur Pflicht macht.
Plugin-Hersteller, die kein VDP haben, werden 2026 zur Risikoquelle für jeden Hoster, der sie mitschleppt. Die EU-Regulierung kommt nicht aus Schikane, sondern weil das Vertrauensmodell des Plugin-Ökosystems an seine Grenzen stößt.
— Markus Seyfferth, Chefredakteur Dr. Web
Patchstack listet im Whitepaper zwei strukturelle Probleme. Mehr als die Hälfte der Plugin-Entwickler, denen das Unternehmen 2025 eine Schwachstelle gemeldet hat, patchten vor der offiziellen Offenlegung nicht. Parallel überschwemmen KI-generierte Pseudo-Security-Reports die Inboxen der Plugin-Teams, was den Signal-Rausch-Anteil senkt.
Was sollten Site-Betreiber jetzt tun?
Drei Prüfschritte stehen oben auf der Liste. Zunächst die Bestandsaufnahme: Welche Pro-Plugins laufen, von welchem Hersteller, mit welchem Patch-Verhalten? Wer das nicht ad hoc beantworten kann, fährt blind. Parallel ein Blick in die letzte Backup-Generation vor dem 7. April, falls Smart Slider 3 Pro 3.5.1.35 jemals eingespielt wurde. Ergänzend lohnt der Patchstack-Datenbank-Check für alle kommerziellen Plugins auf der Site.
Für Agenturen mit WordPress-Wartungsverträgen verschiebt sich die Hausaufgabe. Statt nur Update-Stände zu pflegen, gehört die VDP-Existenz beim Plugin-Anbieter ab sofort zur Auswahlkriterien-Liste. Wie schnell selbst große Plugin-Familien fallen können, hat der stille März-Patch-Reigen bei Elementor, Yoast und WPForms gezeigt. Vier Plugins, 29 Millionen Installationen, zwei unauthentifizierte Lücken.
Patchstack-Premium-Kunden sind über die virtuelle Patch-Schicht abgesichert, die Schwachstellen oft 48 Stunden vor öffentlicher Bekanntgabe blockiert. Für alle anderen bleibt die alte Regel: Auto-Update-Schalter pro kritischem Plugin aktivieren, Hosting-Backup mindestens zweimal wöchentlich.
Mehr Newshunger?
